Une gestion intégrée des tâches de sécurité et de la cybersécurité est la condition préalable à une exploitation ferroviaire sûre. La cybersécurité, qui fait partie d’une sécurité du groupe intégrée, n’a pas seulement une fonction purement stratégique et de gestion; les CFF observent également le trafic réseau 24 heures sur 24 afin de se protéger efficacement en cas d’attaques en provenance du cyberespace.  

Les menaces croissantes font des transports publics suisses une infrastructure critique. Celle-ci doit non seulement répondre aux exigences de ponctualité et de fiabilité, mais aussi aux attentes en matière de sécurité informatique. Pour garantir la desserte et l’approvisionnement de la Suisse par le rail, de nouvelles technologies, ainsi que la numérisation et l’automatisation sont indispensables. Aujourd’hui, aucun train ne peut circuler en toute sécurité sur les rails sans une infrastructure informatique sécurisée.

Dans le même temps, la cybercriminalité, business mondial se chiffrant en milliards, ne cesse de se développer, et les CFF, leur clientèle et leurs partenaires ne sont pas à l’abri des attaques. Au-delà des acteurs étatiques, ce sont avant tout des organisations professionnelles privées de pirates informatiques qui tentent de tirer profit des attaques contre les entreprises. Avec leur stratégie de cybersécurité, les CFF garantissent une protection suffisante de leur infrastructure informatique contre les cyberattaques, évitant ainsi que le système ferroviaire ne soit paralysé pendant des jours, voire des semaines, à la suite d’une telle attaque.

Gestion des risques à plusieurs niveaux

Les CFF créent des applications numériques fiables et résilientes pour leurs systèmes, installations et véhicules. Ils exploitent également leur propre «Cyber Defence Center», avec lequel ils surveillent leur trafic réseau à toute heure et engagent les contre-mesures nécessaires en cas d’incident.  

Les CFF évaluent et gèrent leurs risques en matière de sécurité de l’information dans le cadre du système de management de la sécurité de l’information («Information Security Management System», ISMS) pour leurs solutions numériques. Ce dernier est certifié ISO 27001 dans le domaine des applications commerciales.

Les CFF s’engagent à contribuer au développement technologique et sociétal de la Suisse et s’impliquent dans les initiatives de cybersécurité ainsi que dans la formation continue de spécialistes en cybersécurité. L’échange et la coopération avec d’autres entreprises et partenaires ainsi qu’avec le monde scientifique font partie intégrante de cette action.

Le système de management certifié ISMS pour la protection des infrastructures informatiques.

CFF SA exploite un système de management de la sécurité de l’information («ISMS»), conformément aux prescriptions de la norme internationale ISO/CEI 27001:2013.

La sécurité de l’information fait partie des activités quotidiennes des CFF, en vue de protéger de manière adéquate les systèmes informatiques critiques pour l’entreprise et les données nécessaires en fonction de la situation de risque.

Un système de management de la sécurité de l’information («Information Security Management System» ou ISMS) permet de réguler et de gérer la sécurité de l’information de manière systématique. Il contribue à satisfaire les exigences réglementaires et contractuelles en matière de compliance ainsi qu’à démontrer et à mesurer la qualité de la sécurité de l’information pour l’ensemble des actifs des CFF. Son objectif est d’améliorer continuellement les niveaux de sécurité dans les domaines certifiés. ISMS soutient les objectifs de sécurité définis pour les valeurs CFF en matière de fiabilité, d’intégrité et de disponibilité.

La mise en application de la certification ISO 27001 se concentre sur la zone numérique des CFF, avec l’étendue de certification «Planen, entwickeln & betreiben von digitalen Lösungen im Bereich Geschäftsanwendungen der SBB Informatik» (planification, développement et exploitation de solutions numériques dans le domaine des applications commerciales de CFF Informatique).

Le système de management de la sécurité de l’information (ISMS) est géré et développé au sein de l’unité Sécurité du groupe par l’équipe chargée de la sécurité de l’information pour l’ensemble des CFF.